728x90
반응형
- 방화벽 개념, 기능
- 방화벽(네트워크 접근 통제 솔루션) : 네트워크 침임에 대해 내부 네트워크를 보호하기 위한 구성요소중의 하나x
- 불법사용자의 침입으로부터 내부의 자산 보호를 위한 정책 (H/W, S/W)
- 서로 다른 보안 정책을 갖는 네트워크나 네트워크간 트래픽(패킷)을 통제하는 프로그램이나 장비
- 네트워크에서 흐르는 패킷을 미리 정해 놓은 규칙에 따라 차단하거나 전달하는 기능을 수행하는 H/W, S/W
- 허용(Accept, Permit, Allow)
- 차단(Drop, Deny)
- 방화벽의 필요성 & 주요 기능
- 필요성
- 네트워크 불벌 침입 및 악성코드 차단
- 내부 기밀정보 유출 차단
- 효율적 네트워크 보안정책 구현 필요
- 보안관리의 단순화
- 보안정책의 집중화
- 네트워크 접근 추적 및 통계 산출 필요
- 보안감사와 경고
- 방화벽 주요 기능
- 접근제어
- 호스트 및 네트워크에 대한 접근통제 기능
- 패킷 필터링 규칙에 의거, 패킷의 IP 분석 후 허용여부 결저
- 정리
- 방화벽의 기본 기능
- 패킷 필터링 규칙에 따라 패킷 분석 후 허용여부 결정
- IP 주소
- 프로토콜
- 포트번호
- 연결상태
- 페이로드
- 응용레벨에서는 인증을 이용한 접근통제 기능 구현
- 인증
- 스마트 카드, 인증 토큰, 생체 특성, S/W에 기반한 매커니즘 등\
- 정리
- 메세지 인증
- 전송되는 Message의 신뢰성을 보증
- Gateway-to-Gateway 형태의 VPN Service를 제공
- 사용자 인증
- OTP
- Token Base
- 스마트카드 등
- 클라이언트 인증
- 메세지 인증
- 로깅 및 감사
- 접속 정보와 네트워크 사용(공격 포함)에 따른 유용한 통계정보들을 제공
- 정리
- 로그정보 관리
- 모든 트래픽은 방화벽을 통과
- 방화벽과 관련된 모든 접속 및 상황을 기록
- 로그정보의 재활용
- 통계
- 추적기능 제공
- 보안정책 재수립
- 알람 기능 제공
- 로그정보 관리
- 암호화
- 트래픽에 대한 암호화 기능 제공
- 정리
- 가상사설망(VPN) 기능 제공
- 트래픽 암호화
- 사용자 인증 및 무결성 보장
- IPSec, SSL/TLS
- VPN 구조
- Gateway : Gateway
- Gateway : Host
- Host : Host
- 가상사설망(VPN) 기능 제공
- NAT
- 정리
- 보안 측면
- 내부 네트워크 은닉화
- 효육적 측면
- 서브 네트워크 구성
- IP주소 자원 효율적 활용
- 보안 측면
- 정리
- 접근제어
- 필요성
- 방화벽의 한계
- 새로운 패턴에 대한 낮은 적응력과 실시간 탐지 불가능
- 제한된 서비스
- 백도어 위협
- 내부 사용자에 의한 보안 침해
- 바이러스 등 패킷 데이터 탐지의 한계
- 높은 트래픽을 처리해야 하므로 데이터 내용까지 검사하면, 큰 오버헤드(overhead)가 발생하고 네트워크 대역폭에 큰 손실을 가져오기 때문
- F/W(차단), IDS(탐지)
- 신규 악성코드 탐지 및 차단 한계
- 방화벽은 예측된 접속에 대한 규칙을 세우고 이에 대해서만 방어하기 때문에 새로운 형태의 공격에는 능동적으로 적용할 수 없음
- 실제로 많은 해킹 공격이 방화벽을 우회하거나 통과하는 데 성공하여 공격을 실행하므로 보안의 완성이 아님
- 방화벽 유형
- Layer 기준
- Network, Transport, Application
- 구현방식
- Software, Hardware
- 처리성능
- 유형
- Packet filtering
- Stateful Inspection
- Application-Proxy gateway
- Circuit-Level gateway
- Hybrid
- Layer 기준
Hardware와 Software의 방화벽 차이
- 호스트 기반 방화벽
- 해당 호스트 환경에 최적화
- Outbound 트래픽 제한 용이
- 로그분석 용이
- 개인용 방화벽
- End User를 위한 PC에 탑재되는 방화벽
- GUI 형태의 인터페이스
- 보안정책용 중앙에서 관리 가능
728x90
반응형